El gobierno del Reino Unido quiere reformar las leyes de protección de datos, eliminando la carga administrativa y ayudando a promover la innovación. El desafío es lograr esto sin causar interrupciones o arriesgar las relaciones comerciales. Entonces, ¿qué tan lejos está el Proyecto de Ley de Protección de Datos e Información Digital (DPDI) en el camino para convertirse en ley, y qué cambios hará en su organización?
Proyecto de Ley de Protección de Datos e Información Digital
¿Qué es?
El Proyecto de Ley de Protección de Datos e Información Digital (DPDI) presenta reformas posteriores al Brexit a las leyes de protección de datos del Reino Unido.
El gobierno afirma que la nueva legislación:
- Conservar los mejores elementos del Reglamento General de Protección de Datos de la UE (RGPD)
- Proporcionar una mayor flexibilidad
- Reducir los costos en £ 4.7 mil millones en 10 años
- Facilitar el comercio mundial
- Sea simple, claro y amigable para los negocios
El reto para la legislación es ayudar a apoyar la innovación y reducir la carga administrativa, sin realizar cambios que: - Vulnerar los derechos individuales sobre los datos
- Exigir a las empresas que creen nuevos sistemas de datos
- Crear barreras al comercio con la UE y otras jurisdicciones internacionales
¿Cuándo se introdujo?
DPDI se presentó inicialmente al Parlamento del Reino Unido el 18 de julio de 2022. Una segunda lectura del proyecto de ley prevista para septiembre de 2022 se puso en pausa después de la renuncia de Boris Johnson como primer ministro.
El 8 de marzo de 2023, la Secretaria de Estado Michelle Donelan presentó una versión revisada de la legislación, conocida como DPDI (No 2). Es probable que proceda a una segunda lectura en la Cámara de los Comunes en otoño de 2023.
¿A quién afecta?
DPDI afectará a organizaciones de todos los tamaños y sectores, desde la organización benéfica más pequeña hasta las grandes corporaciones. También afectará a las organizaciones internacionales que comercian dentro del Reino Unido o gestionan datos de ciudadanos del Reino Unido.
Aspectos destacados del DPDI
El DPDI podría introducir:
- Una nueva definición de datos personales que ayuda a describir el nivel de anonimato requerido para poner a un individuo más allá de la identificación por «medios razonables»
- Una categoría de datos de interés legítimo (por ejemplo, delito, salvaguardia) que elimina el requisito de realizar una evaluación del interés legítimo
- Factores a considerar en la reutilización de datos personales para un nuevo propósito, y situaciones específicas en las que la reutilización será legal
- Facilitar que las organizaciones rechacen las solicitudes de acceso de los interesados cuando sean vejatorias o excesivas, dada toda la gama de circunstancias
- Aclarar las circunstancias en las que la IA se puede utilizar para la toma de decisiones automatizada sin una participación humana significativa
- Sustitución de los Delegados de Protección de Datos (DPO) por Personas Responsables Superiores (SRI) que deben ser altos directivos
- Evaluaciones de impacto del procesamiento de datos reemplazadas por evaluaciones de procesamiento de alto riesgo que se llevarán a cabo cuando se identifiquen actividades de procesamiento de datos de alto riesgo
- Eliminación del requisito de mantener registros de actividades de procesamiento, reemplazado por la obligación de mantener registros apropiados
- Una nueva prueba de protección de datos para aplicar a los acuerdos para los mecanismos de transferencia de datos personales fuera del Reino Unido
- El Comisario de Información se reestructurará en una Comisión de Información, con nuevos poderes de ejecución y un mandato que incluye el reconocimiento de la necesidad de promover la innovación y la competencia.
- Procedimientos de reclamación destinados a aumentar el número de reclamaciones resueltas sin la participación de la Comisión de Información
- Una reorganización del cumplimiento de GDPR para reducir las ventanas emergentes, permitiéndolas cuando un individuo ha dado su consentimiento o los datos se utilizan para fines específicos, como la mejora del sitio web.
GDPR vs. DPDI
DPDI no es un reemplazo total de la legislación de protección de datos GDPR. En cambio, modifica la legislación existente (Ley de Protección de Datos 2018 y GDPR del Reino Unido), por lo que habrá mucho trabajo para los abogados que hacen referencias cruzadas a diferentes piezas de legislación.
Cuando se finalice la legislación, la UE aplicará una prueba de adecuación para determinar si el nuevo régimen de protección de datos del Reino Unido proporciona una protección de datos adecuada, permitiendo que los flujos de datos continúen entre la UE y el Reino Unido.
DPDI: Proyecto de ley no.1 vs Proyecto de ley no.2
¿Cuáles son los cambios que se realizaron en DPDI (No 1) publicado en julio de 2022, y DPDI (No 2) en marzo de 2023?
DPDI (No 1)
Fines de
investigaciónAclaración de cómo se pueden utilizar los datos personales con fines de investigación, estadísticos e históricos, ayudando a los científicos a utilizar los datos personales para el bien público
Interés
legítimoCambios en el alcance del interés legítimo (donde los datos personales pueden ser utilizados por un controlador de datos o un tercero, siempre que no se violen los derechos y libertades individuales)
Introduce «intereses legítimos reconocidos» que no requieren una evaluación del interés legítimo
Registros de procesamiento
Obligaciones reducidas y exención para organizaciones con menos de 250 empleados donde el procesamiento no es de alto riesgo. El nivel de riesgo debe determinarse teniendo en cuenta la naturaleza, el alcance, el contexto y el propósito del procesamiento de datos
Transferencias internacionales de
datosPrueba de protección de datos para evaluar la protección proporcionada por las normas del país destinatario al transferir datos
Galletas
El uso de cookies permitido sin obtener el consentimiento para fines definidos, como evaluar cómo se utiliza un sitio web.
Toma
de decisiones automatizadaAclaración de que la participación humana significativa debe juzgarse teniendo en cuenta cuán ampliamente se utiliza el perfil para tomar una decisión.
DPDI (No 2)
Fines de
investigaciónAdición de «fines de investigación científica» que incluya el uso comercial y no comercial y amplíe la definición de «investigación científica»
Interés
legítimoAdición de ejemplos de datos de interés legítimo, como marketing directo y seguridad informática
Registros de procesamiento
Eliminación de la referencia al número de empleados, ahora el requisito es evaluar si es probable que el procesamiento resulte en un alto riesgo para los derechos y libertades de las personas
Transferencias internacionales de
datosAclaración de que los mecanismos de transferencia de datos personales establecidos antes de la entrada en vigor de la ley serán válidos
Galletas
No hay más cambios
Toma
de decisiones automatizadaLa definición de toma de decisiones automatizada es cuando no hay una participación humana significativa en una decisión.
¿Está listo para DPDI?
El cambio llegará a la legislación de protección de datos del Reino Unido en los próximos años. Esto incluye la reforma de las reglas que rigen las cookies en su sitio. Asegúrese de que su política de cookies cumpla con la ley y obtenga una visión general de su recopilación de datos utilizando nuestra herramienta de escáner de cookies en su sitio.
Si necesita ayuda para asegurarse de que cumple y aprovecha al máximo las nuevas reglas, CookieHub puede ayudarlo.
Regístrese hoy para una prueba gratuita.